如何防止CDN背后的負載均衡(LB)/服務器域名通過HTTPS曝露真實IP？這是一個很容易被站長忽略的問題。
通常服務器前端有負載均衡進行分流，再前面有CDN進行緩存，真實IP一般隱藏。因為真實IP曝露了，服務器的風險很大。同樣，服務器前面的LB的IP也決不能曝露（如果服務器前面有LB的話） 。
HTTPS是目前任何服務器都會配置的。但如果不做防范，IP會直接曝露。

劃重點：
1.域名直接解析到服務器=裸奔， IP會直接曝露
2.域名解析到LB= 裸奔， LB的IP會直接曝露
3.域名解析到CDN，隱藏IP，但HTTPS有曝露IP的風險。（其他曝露 IP的風險可能有SMTP自動回信等各種方式，這里不做討論）

在說 HTTPS 曝露IP 之前，我先說一個公司，這家公司就是 censys.io
這家公司做的事情就是開足服務器馬力在網上不斷地自動化掃端口，什么80啊，443啊，FTP啊只要是開的都會掃，他不但掃，還通過端口的信息與域名建立關聯，大數據關聯域名、IP、端口、服務等動態即時及歷史關系。
OK，這些機器掃啊掃的，回到我們這里來看，他們是不是建立了IP和域名的關系數據了，他們是通過IP掃的數據，但開放出的查詢引擎是不是可以通過域名來倒查IP！這就很可怕，任何人都可以查！

那么域名關聯信息是怎么樣泄露的呢？

HTTPS是罪魁禍首。如何泄露的呢？
當我們在服務器或是LB上配置好HTTPS后，大家用 https://IP (服務器或LB的IP)訪問一下，然后再看一下證書，是不是就明白了。IP——域名。

所以我們要做的就是不讓他對應或是讓他假對應。所以我們應該在服務器或LB上為這個真實IP專門配一個完全和域名無關的HTTPS數字證書。具體如何配置很簡單，無非就是再開一個主機頭為這個IP的站點并配無關證書之類的，LB上就443監測時判斷這個IP后到另一個采用無關證書的域名等，這里就不展開了。

再重復一下：曝露真實IP，問題很嚴重！

原創不易，轉發請說明來源 http://www.osrr.com.cn/wp/2021/09/26/cdn/。